日志管理方法、辅助调查取证方法及装置与流程

1.本公开涉及信息技术领域，特别涉及一种日志管理方法、辅助调查取证方法及装置。


背景技术：

2.随着数字时代的到来，数据安全问题也日益突出。
3.现有数据安全管理方案都是以账号维度定位到人，设计思路都是以中心化的方式进行向下监督。这种方案的弊端在于最高权限的管理者可对自己的违规行为进行日志删除。
4.举例来说，目前对数据管理权限的监督只能反映到日志上，然而很多时候存在一号多用的情况，即一个具有高权限的账号可被多个员工使用，员工可以利用账号的权限对敏感数据执行查询、下载、日志删除等操作，使得日志无法记录完整的行为信息，从而也就无法基于日志进行100％溯源，以发现可能存在的数据安全问题。
5.因此，需要一种能够保证日志数据完整性的日志管理方案。


技术实现要素：

6.本公开要解决的一个技术问题是提供一种能够保证日志数据完整性的日志管理方案。
7.根据本公开的第一个方面，提供了一种日志管理方法，包括：日志获取步骤：获取第一时长范围内产生的日志信息；节点确定步骤：基于委托权益证明(dpos)和工作量证明(pow)的混合共识机制确定用于记录区块的记录节点和用于验证区块的验证节点；区块生成步骤：由记录节点基于日志信息生成新区块，新区块的数据内容包括日志信息、新区块的哈希值以及上一区块的哈希值，其中，新区块的哈希值是利用哈希算法对日志信息和上一区块的哈希值进行哈希计算得到的；验证步骤：由验证节点基于新区块的数据内容中上一区块的哈希值，验证新区块的有效性；存储步骤：若验证结果为新区块有效，则由验证节点存储新区块的数据内容。
8.根据本公开的第二个方面，还提供了一种辅助调查取证方法，包括：行为信息获取步骤：获取第一时长范围内办案人员进行调查取证的行为信息；节点确定步骤：基于委托权益证明(dpos)和工作量证明(pow)的混合共识机制确定用于记录区块的记录节点和用于验证区块的验证节点；区块生成步骤：由记录节点基于行为信息生成案件链中的新区块，新区块的数据内容包括行为信息、新区块的哈希值以及上一区块的哈希值，其中，新区块的哈希值是利用哈希算法对行为信息和上一区块的哈希值进行哈希计算得到的；验证步骤：由验证节点验证新区块的有效性；存储步骤：若验证结果为新区块有效，则由验证节点存储新区块的数据内容。
9.根据本公开的第三个方面，还提供了一种日志管理方法，包括：记录用户的行为信息；将行为信息上传至日志管理系统，由日志管理系统将行为信息添加到区块链。
10.根据本公开的第四个方面，提供了一种日志管理系统，包括：调度节点和多个计算节点，所述调度节点基于委托权益证明(dpos)和工作量证明(pow)的混合共识机制确定所述多个计算节点中用于记录区块的记录节点和用于验证区块的验证节点，所述调度节点获取第一时长范围内产生的日志信息，并将所述日志信息发送给所述记录节点，所述记录节点基于所述日志信息生成新区块，并将所述新区块发送给所述验证节点，所述新区块的数据内容包括所述日志信息、新区块的哈希值以及上一区块的哈希值，其中，新区块的哈希值是利用哈希算法对所述日志信息和所述上一区块的哈希值进行哈希计算得到的，所述验证节点验证所述新区块的有效性，若验证结果为所述新区块有效，则存储所述新区块的数据内容。
11.根据本公开的第五个方面，还提供了一种日志管理装置，包括：日志获取模块，用于获取第一时长范围内产生的日志信息；节点确定模块，用于基于委托权益证明(dpos)和工作量证明(pow)的混合共识机制确定用于记录区块的记录节点和用于验证区块的验证节点；区块生成模块，用于指令记录节点基于日志信息生成新区块，新区块的数据内容包括日志信息、新区块的哈希值以及上一区块的哈希值，其中，新区块的哈希值是利用哈希算法对日志信息和上一区块的哈希值进行哈希计算得到的；验证模块，用于指令验证节点基于新区块的数据内容中上一区块的哈希值，验证新区块的有效性；存储模块，用于若验证结果为新区块有效，则指令验证节点存储新区块的数据内容。
12.根据本公开的第六个方面，还提供了一种辅助调查取证装置，包括：行为信息获取模块，用于获取第一时长范围内办案人员进行调查取证的行为信息；节点确定模块，用于基于委托权益证明(dpos)和工作量证明(pow)的混合共识机制确定用于记录区块的记录节点和用于验证区块的验证节点；区块生成模块，用于指令记录节点基于行为信息生成案件链中的新区块，新区块的数据内容包括行为信息、新区块的哈希值以及上一区块的哈希值，其中，新区块的哈希值是利用哈希算法对行为信息和上一区块的哈希值进行哈希计算得到的；验证模块，用于指令验证节点验证新区块的有效性；存储模块，用于若验证结果为新区块有效，则指令验证节点存储新区块的数据内容。
13.根据本公开的第七个方面，还提供了一种日志管理装置，包括：记录模块，用于记录用户的行为信息；上传模块，用于将行为信息上传至日志管理系统，由日志管理系统将行为信息添加到区块链。
14.根据本公开的第八个方面，提供了一种计算设备，包括：处理器；以及存储器，其上存储有可执行代码，当可执行代码被处理器执行时，使处理器执行如上述第一方面至第三方面中任一方面所述的方法。
15.根据本公开的第九个方面，提供了一种非暂时性机器可读存储介质，其上存储有可执行代码，当可执行代码被电子设备的处理器执行时，使处理器执行如上述第一方面至第三方面中任一方面所述的方法。
16.由此，本公开在借助区块链技术将日志进行分布式存储的过程中，通过基于委托权益证明(dpos)和工作量证明(pow)的混合共识机制来进行透明监督，可以在保证数据存储效率的同时兼顾管理去中心化。
附图说明
17.通过结合附图对本公开示例性实施方式进行更详细的描述，本公开的上述以及其它目的、特征和优势将变得更加明显，其中，在本公开示例性实施方式中，相同的参考标号通常代表相同部件。
18.图1示出了根据本公开一个实施例的日志管理方法的示意性流程图。
19.图2示出了根据本公开另一个实施例的日志管理方法的示意性流程图。
20.图3示出了根据本公开一个实施例的日志管理装置的结构示意图。
21.图4示出了根据本公开一个实施例的辅助调查取证装置的结构示意图。
22.图5示出了根据本公开另一个实施例的日志管理装置的结构示意图。
23.图6示出了根据本发明一实施例可用于实现上述日志管理方法或辅助调查取证的计算设备的结构示意图。
具体实施方式
24.下面将参照附图更详细地描述本公开的优选实施方式。虽然附图中显示了本公开的优选实施方式，然而应该理解，可以以各种形式实现本公开而不应被这里阐述的实施方式所限制。相反，提供这些实施方式是为了使本公开更加透彻和完整，并且能够将本公开的范围完整地传达给本领域的技术人员。
25.本公开借助区块链技术(如区块链技术中的私链)将日志进行分布式存储，以保证日志的完整性，使得可以根据分布式存储的日志进行100％溯源，以便发现可能存在的数据安全问题。
26.由于日志记载的是实时发生的行为数据，使得日志的更新较为频繁，即会源源不断地产生新的日志数据。因此，需要源源不断地将新增的日志数据添加到新的区块进行上链，使得在将日志进行分布式存储的过程中，对数据存储效率要求较高，而为了保证日志不被篡改，又需要兼顾管理去中心化。
27.为此本公开进一步提出，在借助区块链技术将日志进行分布式存储的过程中，基于委托权益证明(dpos)和工作量证明(pow)的混合共识机制来进行透明监督，以在保证数据存储效率的同时兼顾管理去中心化。
28.下面就本公开涉及的细节做进一步说明。
29.图1示出了根据本公开一个实施例的日志管理方法的示意性流程图。图1所示的方法可通过计算机程序以软件方式实现，还可通过特定配置的计算装置或日志管理系统来执行图1所示的方法。
30.如图1所示，日志管理方法主要包括日志获取步骤、区块生成步骤、节点确定步骤、验证步骤以及存储步骤。其中可以先执行日志获取步骤再执行区块生成步骤，也可以先执行区块生成步骤再执行日志获取步骤，或者日志获取步骤和节点确定步骤可以不分先后同时执行。
31.1、日志获取步骤
32.获取第一时长范围内产生的日志信息。第一时长范围可以根据实际情况设置，如可以设置为60分钟。
33.日志信息可以是指第一时长范围内发生的行为事件和/或消息事件的记录信息。
作为示例，发生的行为事件和/或消息事件可以记录在日志文件中，日志信息可以是指记载在日志文件中的信息。例如，日志文件可以是用于记录系统操作事件的记录文件或文件集合，具有处理历史数据、诊断问题的追踪以及理解系统的活动等重要作用。
34.以应用于数据安全场景为例，日志信息可以是指针对数据执行的访问、修改、删除等行为信息，即与数据相关的行为信息。数据可以是指较为重要的敏感数据。由此，日志信息可以特指与敏感数据相关的行为信息。例如，日志信息可以是但不限于杀毒软件安全日志、计算机系统日志、数据库的访问日志等等。根据具体应用场景不同，日志信息的具体内容也不尽相同。
35.举例来说，本公开的日志安全管理方法可以用于企业内部合同数据的安全管理，此时日志信息可以是指企业内部制定合同中发生的各种行为事件的记录信息，如可以包括但不限于合同修改记录信息、补充协议信息。
36.再举例来说，本公开的日志安全管理方法还可以用于企业内部运营数据的安全管理，本公开还可以生成一个或多个具有敏感数据的操作权限的运营账号。用户(如内部员工)可以通过运营账号来操作(如查询)敏感数据。其中，不同运营账号对敏感数据的操作权限可以不同。可选地，不同运营账号之间可以存在管理和被管理的关系。由此，可以获取第一时长范围内由运营账号产生的与敏感数据相关的行为信息，该行为信息即为上述日志信息。
37.2、节点确定步骤
38.可以基于委托权益证明(dpos)和工作量证明(pow)的混合共识机制确定用于记录区块的记录节点和用于验证区块的验证节点，以兼顾数据存储效率和管理去中心化。
39.委托权益证明(dpos，delegated proof of stake)，也可称为授权股权证明机制，与董事会投票类似，是由全体节点投票选举出一定数量的代表节点，由他们来代理全体节点参与区块的记录、验证。委托权益证明机制的优点在于可以缩小参与验证和记账的节点的数量，达成共识周期短，缺点在于去中心化程度低，可能会因节点抱团而产生安全问题。
40.工作量证明(pow，proof of work)，简单讲就是多劳多得，谁能最快解决难题，谁就能做记账人。工作量证明机制具有完全去中心化的优点，缺点在于消耗大量算法，达成共识周期长。
41.dpos pow的混合共识机制可以为所有dpos的支持者(即支持dpos机制的节点)和pow的支持者(即支持pow机制的节点)提供赢得新区块的记录权的平等机会，支持pow机制的节点可以通过增加工作量来提升赢得新区块的记录权的机会，支持dpos的节点可以通过被更多节点选举来赢得新区块的记录权的机会。
42.通过将dpos pow的混合共识机制应用于日志的分布式存储，可以在保证日志存储效率的同时，兼顾日志管理的去中心化，解决存储效率和日志管理安全无法兼顾的问题。
43.作为示例，可以基于委托权益证明(dpos)和工作量证明(pow)的混合共识机制，从支持委托权益证明机制的节点和支持工作量证明机制的节点中选择一个节点作为记录节点，其余节点作为验证节点。
44.更具体而言，可以基于委托权益证明(dpos)确定一个第一节点，基于工作量证明(pow)机制确定多个第二节点，基于委托权益证明(dpos)和工作量证明(pow)的混合共识机制从第一节点和多个第二节点中选择一个节点作为记录节点，其余节点作为验证节点。
45.第一节点可以是长期固定不变的(除非该第一节点被其他节点罢免，重新选举出新的第一节点)。第二节点则可以是周期性变动的，如可以每隔预定周期(如60分钟)基于pow机制产生一组新的第二节点。其中，第二节点的数量可以根据实际情况设定，一般不宜设置过大，过大会提升新区块的存储成本，降低数据存储效率，例如第二节点的数量可以设为不大于9。
46.在本公开中，节点具备数据处理及存储功能。节点可以是独立存在的物理机器，也可以是位于物理机器中的虚拟节点。例如，节点可以是指分布式系统中的计算节点。
47.记录节点具有新区块的记录权。新区块的记录权，是指新区块生成之前由哪个节点充当记录节点来负责该新区块的生成，生成的新区块可以广播给其他验证节点进行验证，如果验证通过则验证节点也可以记录新区块的内容，由此可以实现区块的分布式存储。
48.3、区块生成步骤
49.由记录节点基于日志信息生成新区块，新区块的数据内容包括日志信息、新区块的哈希值以及上一区块的哈希值。新区块的哈希值是利用哈希算法对日志信息和上一区块的哈希值进行哈希计算得到的。哈希算法可以采用但不限于sha-256加密算法。
50.作为示例，新区块的数据内容中新区块的哈希值和/或上一区块的哈希值可以是由记录节点利用私钥进行加密得到的签名信息。
51.4、验证步骤
52.记录节点在生成新区块后，可以将新区块广播给其他验证节点。由验证节点验证新区块的有效性。验证节点可以基于新区块的数据内容中上一区块的哈希值，来验证新区块的有效性。例如，验证节点可以利用哈希算法对日志信息和上一区块的哈希值进行哈希计算，并将计算得到的哈希值与新区块的哈希值进行比较，若一致则判定新区块有效，否则判定新区块无效。
53.作为示例，新区块的数据内容中新区块的哈希值和上一区块的哈希值可以是由记录节点利用私钥进行加密得到的签名信息。验证节点可以首先使用公钥对签名信息进行解密，以得到新区块的哈希值以及上一区块的哈希值，然后可以使用哈希算法对上一区块的哈希值和新区块的日志信息进行哈希计算，将计算得到的哈希值与新区块的哈希值进行比较，若一致则判定新区块有效，否则判定新区块无效。
54.5、存储步骤
55.若验证结果为新区块有效，则验证节点可以存储新区块的数据内容。如可以将新区块的数据内容存储在验证节点的内存中。
56.由此，经过上述步骤可以将一定时长范围内产生的日志信息作为区块进行上链，提升日志信息被篡改的难度，保证日志的完整性，使得基于日志可以100％进行溯源。
57.如图1所示，在经过时长t(如第一时长)且超过一定比例的数据被存储的情况下，可以返回执行上述日志获取步骤、节点确定步骤、区块生成步骤、验证步骤以及存储步骤，以存储在第一时长范围对应的时间段之后的第二时长范围内产生的日志信息。其中第二时长范围是指时间轴上第一时长范围对应的时间段之后的一个时间段，该时间段可以是一个大于或等于第一时长范围的一个时间段。其中，超过一定比例的数据被存储可以是指超过一定比例的验证节点存储了新区块，一定比例可以是指一半以上，如51％。
58.以此类推，通过不断迭代执行上述日志获取步骤、节点确定步骤、区块生成步骤、
验证步骤以及存储步骤，可以不断将新增的日志信息上链。
59.本公开还可以针对区块设置访问权限，访问权限用于表征区块的数据内容的读取权限。例如，用户在期望调取区块链中某一区块的数据内容时，只有具有该区块所对应的访问权限，才能成功访问该区块。不同区块可以对应不同的访问权限。通过为区块设置相应的访问权限，可以实现区块的分级分类管理。
60.本公开还可以获取区块的访问信息，将访问信息添加到区块链。访问信息可以是指用户针对已经上链的区块数据的查询、调查取证等行为信息。将访问信息添加到区块链，也即将访问信息视为需要保护的“日志”进行上链。其中，访问信息所处的区块链和上文日志信息所处的区块链可以是同一条区块链，也可以是不同的区块链。关于将访问信息添加到区块链的具体实现过程，可以参见现有区块链技术。作为示例，可以利用本公开上述将日志信息添加到区块链的实现方式，将访问信息添加到区块链。
61.图2示出了根据本公开另一个实施例的日志管理方法的示意性流程图。图2所示的方法可通过计算机程序以软件方式实现，还可通过特定配置的计算装置或日志管理系统来执行图2所示的方法。
62.如图2所示，在步骤s1，可以产生n个可查询敏感数据权限的运营账户，用于日常运营使用。其中，运营账户可以由数据安全委员会生成。
63.在步骤s2，对于由这n个运营账号产生的行为数据，每60分钟产生一个区块数据。
64.在步骤s3，可以基于dpos pow的混合共识机制产生1 n个可记账管理员账号(对应于上文述及的节点)进行相互监督。
65.1为委员会基于dpos始终固定的记账员(对应于上文述及的第一节点)，n为基于pow机制浮动产生的运营账号管理员(对应于上文述及的第二节点)。
66.这1 n个可记账管理员账号可以竞争新区块的记录权，竞争到记录权的可记账管理员账号作为记录节点记录新区块，其余可记账管理员账号作为验证节点验证记录节点所记录的新区块的有效性。
67.对于基于pow机制生成的n个可记账管理员账号，可以每60分钟基于pow机制刷新一次，如果60分钟内基于pow机制产生的结果相同。在竞争新区块的记录权时，可以直接以最近一次胜出的拥有新区块的记录权的记录节点作为本次记录节点。
68.s4、记录节点记录的新区块包括三部分：行为数据、新区块的哈希值、上一区块的哈希值。其中，哈希值可以是采用sha-256加密方式生成的256位加密字符串。
69.s5、验证节点可以基于上一区块的哈希值进行计账权身份验证，以验证记录节点记录的新区块是否有效，具体可以参见上文相关描述。
70.s6、验证通过后验证节点可以记录存储该区块的数据内容到私有云数据存储(考虑区块产生的效率和成本，验证节点的数量不宜设置过多，如可以总共设置10个验证节点)
71.s7、为保障数据的时效性，下一个新的区块产生时间依然为最短60分钟，直到超过51％的数据被存储后才产生下一个区块，以此类推。
72.至此结合图1、图2就日志管理场景为例就本公开做了详细说明。本公开可以应用于但不限于敏感数据查询、警务人员线下调查取证等场景中。以应用于调查取证场景为例，本公开还可以实现为一种辅助调查取证方法。本公开的辅助调查取证方法包括行为信息获取步骤、节点确定步骤、区块生成步骤、验证步骤以及存储步骤。
73.行为信息获取步骤：获取第一时长范围内办案人员进行调查取证的行为信息，这里的行为信息可以是指办案人员线下进行调查取证所产生的行为信息；节点确定步骤：基于委托权益证明(dpos)和工作量证明(pow)的混合共识机制确定用于记录区块的记录节点和用于验证区块的验证节点；区块生成步骤：由记录节点基于行为信息生成案件链中的新区块，新区块的数据内容包括行为信息、新区块的哈希值以及上一区块的哈希值，其中，新区块的哈希值是利用哈希算法对行为信息和上一区块的哈希值进行哈希计算得到的；验证步骤：由验证节点验证新区块的有效性；存储步骤：若验证结果为新区块有效，则由验证节点存储新区块的数据内容。关于各步骤涉及的细节可以参见上文相关描述，此处不再赘述。
74.作为示例，在经过第一时长且超过一定比例的验证节点存储了新区块的数据内容的情况下，再次执行行为信息获取步骤、节点确定步骤、区块生成步骤、验证步骤以及存储步骤，以存储在第一时长范围对应的时间段之后的第二时长范围内办案人员进行调查取证的行为信息。
75.由此，基于本公开可以将办案人员(如警务人员)在线下调查取证过程中的行为信息上链，使得整个调查取证过程有迹可循，实现100％溯源。
76.本公开的日志管理方法还可以实现为一种日志管理系统，包括：调度节点和多个计算节点，调度节点和计算节点均可以部署在设备中，不同的计算节点可以部署在不同的设备中，并且调度节点可以部署在不同于计算节点的一个独立的设备中，也可以和其中一个或多个计算节点部署在同一个设备中。
77.调度节点基于委托权益证明(dpos)和工作量证明(pow)的混合共识机制确定多个计算节点中用于记录区块的记录节点和用于验证区块的验证节点，调度节点获取第一时长范围内产生的日志信息，并将日志信息发送给记录节点，记录节点基于日志信息生成新区块，并将新区块发送给验证节点，新区块的数据内容包括日志信息、新区块的哈希值以及上一区块的哈希值，其中，新区块的哈希值是利用哈希算法对日志信息和上一区块的哈希值进行哈希计算得到的，验证节点验证新区块的有效性，若验证结果为新区块有效，则存储新区块的数据内容。关于调度节点和计算节点执行的操作的细节可以参见上文相关描述，此处不再赘述。
78.在经过第一时长且超过一定比例的验证节点存储了新区块的数据内容的情况下，调度节点和计算节点可以再次执行上述操作，以存储在第一时长范围对应的时间段之后的第二时长范围内产生的日志信息。
79.本公开还提供了一种面向客户端用户的日志管理方法，该方法可以由客户端执行，该方法包括：记录用户的行为信息，将行为信息上传至日志管理系统，由日志管理系统将行为信息添加到区块链。此处述及的行为信息可以视为上文述及的需要上链的日志信息。关于日志管理系统将行为信息添加到区块链的具体实现过程，可以参见上文相关描述，此处不再赘述。
80.用户的行为信息是指需要上链以便后续溯源的信息。行为信息可以是用户针对数据执行的访问修改、删除等行为信息，即与数据相关的行为信息。数据可以是指较为重要的敏感数据。由此，所记录的行为信息可以特指与敏感数据相关的行为信息。
81.以应用于企业内部合同数据的安全管理场景为例，行为信息可以包括但不限于用户针对合同数据执行修改操作的记录信息、用户添加补充协议的记录信息。以应用于企业
内部运营数据的安全管理场景为例，行为信息可以包括但不限于用户通过使用运营账号对企业内部运营数据(如敏感数据)执行操作的行为记录信息。
82.本公开的日志管理方法还可以实现为一种日志管理装置。图3示出了根据本公开一个实施例的日志管理装置的结构示意图。其中，日志管理装置300可以设置在分布式系统的调度节点上。日志管理装置300的功能模块可以由实现本发明原理的硬件、软件或硬件和软件的结合来实现。本领域技术人员可以理解的是，图3所描述的功能模块可以组合起来或者划分成子模块，从而实现上述发明的原理。因此，本文的描述可以支持对本文描述的功能模块的任何可能的组合、或者划分、或者更进一步的限定。
83.下面就日志管理装置可以具有的功能模块以及各功能模块可以执行的操作做简要说明，对于其中涉及的细节部分可以参见上文相关描述，这里不再赘述。
84.参见图3，日志管理装置300包括日志获取模块310、节点确定模块320、区块生成模块330、验证模块340以及存储模块350。
85.日志获取模块310用于获取第一时长范围内产生的日志信息。节点确定模块320用于基于委托权益证明(dpos)和工作量证明(pow)的混合共识机制确定用于记录区块的记录节点和用于验证区块的验证节点。区块生成模块330用于指令记录节点基于日志信息生成新区块，新区块的数据内容包括日志信息、新区块的哈希值以及上一区块的哈希值，其中，新区块的哈希值是利用哈希算法对日志信息和上一区块的哈希值进行哈希计算得到的。验证模块340用于指令验证节点基于新区块的数据内容中上一区块的哈希值，验证新区块的有效性。存储模块350用于若验证结果为新区块有效，则指令验证节点存储新区块的数据内容。
86.在经过第一时长且超过一定比例的验证节点存储了新区块的数据内容的情况下，日志获取模块310、节点确定模块320、区块生成模块330、验证模块340以及存储模块350可以再次执行上述操作，以存储在第一时长范围对应的时间段之后的第二时长范围内产生的日志信息。
87.本公开的辅助调查取证方法还可以实现为一种辅助调查取证装置。图4示出了根据本公开一个实施例的辅助调查取证装置的结构示意图。其中，辅助调查取证装置400可以设置在分布式系统的调度节点上。辅助调查取证装置400的功能模块可以由实现本发明原理的硬件、软件或硬件和软件的结合来实现。本领域技术人员可以理解的是，图4所描述的功能模块可以组合起来或者划分成子模块，从而实现上述发明的原理。因此，本文的描述可以支持对本文描述的功能模块的任何可能的组合、或者划分、或者更进一步的限定。
88.下面就辅助调查取证装置可以具有的功能模块以及各功能模块可以执行的操作做简要说明，对于其中涉及的细节部分可以参见上文相关描述，这里不再赘述。
89.参见图4，辅助调查取证装置400包括行为信息获取模块410、节点确定模块420、区块生成模块430、验证模块440以及存储模块450。
90.行为信息获取模块410用于获取第一时长范围内办案人员进行调查取证的行为信息；节点确定模块420用于基于委托权益证明(dpos)和工作量证明(pow)的混合共识机制确定用于记录区块的记录节点和用于验证区块的验证节点；区块生成模块430用于指令记录节点基于行为信息生成案件链中的新区块，新区块的数据内容包括行为信息、新区块的哈希值以及上一区块的哈希值，其中，新区块的哈希值是利用哈希算法对行为信息和上一区
块的哈希值进行哈希计算得到的；验证模块440用于指令验证节点验证新区块的有效性；存储模块450用于若验证结果为新区块有效，则指令验证节点存储新区块的数据内容。
91.在经过第一时长且超过一定比例的验证节点存储了新区块的数据内容的情况下，信息获取模块410、节点确定模块420、区块生成模块430、验证模块440以及存储模块450可以再次执行上述操作，以存储在第一时长范围对应的时间段之后的第二时长范围内办案人员进行调查取证的行为信息。
92.图5示出了根据本公开另一个实施例的日志管理装置的结构示意图。其中，日志管理装置500可以设置在客户端上。日志管理装置500的功能模块可以由实现本发明原理的硬件、软件或硬件和软件的结合来实现。本领域技术人员可以理解的是，图5所描述的功能模块可以组合起来或者划分成子模块，从而实现上述发明的原理。因此，本文的描述可以支持对本文描述的功能模块的任何可能的组合、或者划分、或者更进一步的限定。
93.下面就日志管理装置可以具有的功能模块以及各功能模块可以执行的操作做简要说明，对于其中涉及的细节部分可以参见上文相关描述，这里不再赘述。
94.参见图5，日志管理装置500包括记录模块510和上传模块520。记录模块510用于记录用户的行为信息。上传模块520用于将行为信息上传至日志管理系统，由日志管理系统将行为信息添加到区块链。关于日志管理系统将行为信息添加到区块链的具体实现过程，可以参见上文相关描述，此处不再赘述。
95.图6示出了根据本发明一实施例可用于实现上述日志管理方法或辅助调查取证的计算设备的结构示意图。
96.参见图6，计算设备600包括存储器610和处理器620。
97.处理器620可以是一个多核的处理器，也可以包含多个处理器。在一些实施例中，处理器620可以包含一个通用的主处理器以及一个或多个特殊的协处理器，例如图形处理器(gpu)、数字信号处理器(dsp)等等。在一些实施例中，处理器620可以使用定制的电路实现，例如特定用途集成电路(asic，application specific integrated circuit)或者现场可编程逻辑门阵列(fpga，field programmable gate arrays)。
98.存储器610可以包括各种类型的存储单元，例如系统内存、只读存储器(rom)，和永久存储装置。其中，rom可以存储处理器620或者计算机的其他模块需要的静态数据或者指令。永久存储装置可以是可读写的存储装置。永久存储装置可以是即使计算机断电后也不会失去存储的指令和数据的非易失性存储设备。在一些实施方式中，永久性存储装置采用大容量存储装置(例如磁或光盘、闪存)作为永久存储装置。另外一些实施方式中，永久性存储装置可以是可移除的存储设备(例如软盘、光驱)。系统内存可以是可读写存储设备或者易失性可读写存储设备，例如动态随机访问内存。系统内存可以存储一些或者所有处理器在运行时需要的指令和数据。此外，存储器610可以包括任意计算机可读存储媒介的组合，包括各种类型的半导体存储芯片(dram，sram，sdram，闪存，可编程只读存储器)，磁盘和/或光盘也可以采用。在一些实施方式中，存储器610可以包括可读和/或写的可移除的存储设备，例如激光唱片(cd)、只读数字多功能光盘(例如dvd-rom，双层dvd-rom)、只读蓝光光盘、超密度光盘、闪存卡(例如sd卡、min sd卡、micro-sd卡等等)、磁性软盘等等。计算机可读存储媒介不包含载波和通过无线或有线传输的瞬间电子信号。
99.存储器610上存储有可执行代码，当可执行代码被处理器620处理时，可以使处理
器620执行上文述及的日志管理方法或辅助调查取证方法。
100.上文中已经参考附图详细描述了根据本发明的日志管理方法或辅助调查取证方法。
101.此外，根据本发明的方法还可以实现为一种计算机程序或计算机程序产品，该计算机程序或计算机程序产品包括用于执行本发明的上述方法中限定的上述各步骤的计算机程序代码指令。
102.或者，本发明还可以实施为一种非暂时性机器可读存储介质(或计算机可读存储介质、或机器可读存储介质)，其上存储有可执行代码(或计算机程序、或计算机指令代码)，当所述可执行代码(或计算机程序、或计算机指令代码)被电子设备(或计算设备、服务器等)的处理器执行时，使所述处理器执行根据本发明的上述方法的各个步骤。
103.本领域技术人员还将明白的是，结合这里的公开所描述的各种示例性逻辑块、模块、电路和算法步骤可以被实现为电子硬件、计算机软件或两者的组合。
104.附图中的流程图和框图显示了根据本发明的多个实施例的系统和方法的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分，所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现中，方框中所标记的功能也可以以不同于附图中所标记的顺序发生。例如，两个连续的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或操作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。
105.以上已经描述了本发明的各实施例，上述说明是示例性的，并非穷尽性的，并且也不限于所披露的各实施例。在不偏离所说明的各实施例的范围和精神的情况下，对于本技术领域的普通技术人员来说许多修改和变更都是显而易见的。本文中所用术语的选择，旨在最好地解释各实施例的原理、实际应用或对市场中的技术的改进，或者使本技术领域的其它普通技术人员能理解本文披露的各实施例。